Noabot 一個影響 Linux 裝置的殭屍網絡
前幾天,網路上發布了一則訊息 針對基於 Linux 的裝置的新惡意軟體。 受洗為 “Noabot”,是Mirai的客製化變種, 至少從去年開始,它就一直在危害設備,並已被網路安全研究人員發現。
對於那些不知道的人 看,你應該知道這是一個感染基於Linux的物聯網設備的惡意軟體, 伺服器、路由器和網路攝影機等,形成殭屍網絡,進行大規模攻擊,例如拒絕服務(DDoS)攻擊。 Mirai原始碼於2016年發布, 允許其他人創建自己的變體(例如 Noabot)來執行自己的攻擊。
關於諾博特
Noabot 的危險 在於它能夠安裝加密貨幣挖礦軟體 在受感染的設備上,以及它們隱藏內部工作的能力,使它們難以檢測和刪除。
看, 它以其傳播能力及其在分散式阻斷服務 (DDoS) 攻擊中的使用而聞名,其特點是其蠕蟲設計,這意味著一旦感染 Linux 設備,它就會自我複製。 其傳統的傳播方法包括掃描在互聯網上接受 Telnet 連接的設備, 嘗試破解預設或常見密碼。一旦它感染了一台設備,它就會尋找其他設備以相同的方式進行感染。
黃大仙禁運, NoaBot 有不同的方法,因為 NoaBot 不是針對弱 Telnet 密碼 攻擊允許 SSH 連線的弱密碼。此外,與 Mirai 不同,NoaBot 不用於執行 DDoS 攻擊。相反,它安裝加密貨幣挖礦軟體,例如 XMRig 的修改版本,以便威脅行為者可以使用受害者的資源來產生加密貨幣。
此外,NoaBot 也被用來傳播 P2PInfect,這是帕洛阿爾托網路公司研究人員發現的獨立蠕蟲病毒。在過去的 12 個月裡,Akamai 一直在模擬真實 Linux 裝置的蜜罐中監控 NoaBot,追蹤各種野外攻擊。這些攻擊來自 849 個不同的 IP 位址,其中大多數可能託管已受感染的裝置。
「乍一看,NoaBot 並不是一個非常複雜的活動。它「簡單地」是 Mirai 和 XMRig 加密貨幣礦機的變體,這兩種礦機如今很常見。然而,惡意軟體中添加的混淆和原始原始碼中的添加內容描繪了威脅行為者能力的截然不同的畫面,」Akamai 首席安全研究員 Stiv Kupchik 寫道。
Akamai 研究人員表示,NoaBot 最先進的功能是殭屍網路如何安裝其 XMRig 加密貨幣挖礦軟體變體。 NoaBot 具有許多不尋常的功能,這些功能將其與 Mirai 等其他惡意軟體變體區分開來,並使安全研究人員更難以檢測和分析:
- 加密或混淆的設置- NoaBot 儲存加密或混淆的配置參數,並且僅在 XMRig 載入到記憶體中時才解密它們,從而確保威脅行為者的隱私。 NoaBot 程式碼中包含的人類可讀字串經過混淆處理,而不是以純文字形式保存,因此很難從二進位檔案中提取詳細資訊。
- 使用UClibc:NoaBot 使用 UClibc 程式碼庫編譯,而不是標準 Mirai 使用的 GCC 函式庫,這可能會改變防毒程式偵測 NoaBot 和對其進行分類的方式。
- 檢測困難:NoaBot 是靜態編譯的,沒有符號,因此很難進行逆向工程和分析惡意軟體。
- 隨機執行:NoaBot 二進位檔案從 /lib 目錄中隨機產生的資料夾運行,這使得偵測裝置上的感染變得困難。
- 自訂詞典- NoaBot 用更大的自訂字典替換了標準 Mirai 字典,使密碼的暴力測試變得更加複雜。
- 指向 SSH:NoaBot 將 Mirai 的 Telnet 掃描器替換為自訂 SSH 掃描器。
- 入侵能力:NoaBot 具有入侵後功能,例如安裝新的授權 SSH 金鑰,允許攻擊者作為後門進行訪問,下載並執行其他二進位檔案或將它們廣播到新設備。
最後,如果你是 有興趣了解更多關於它的信息, 您可以在中查看詳細信息 以下鏈接。